§ 8a Absatz 1 BSIG verpflichtet KRITIS-Betreiber dazu, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen“. Dabei soll der Stand der Technik eingehalten werden.
Zehn Sektoren mit Betreibern, die kritische Dienstleistungen für die Allgemeinheit erbringen, sind in Deutschland durch die KRITIS-Verordnung definiert. KRITIS-Betreiber müssen dem BSI die Umsetzung von Cyber Security Maßnahmen nach Stand der Technik in ihren KRITIS-Anlagen alle zwei Jahre durch §8a BSIG Nachweisprüfungen belegen, die sie selbst veranlassen müssen.
Das KRITIS-Audit wird 2023 für den Sektor Finanz- und Versicherungswesen sowie die Sektoren Transport und Verkehr und Gesundheit fällig.
Neue KRITIS-Anforderung: Systeme zur Angriffserkennung
Das BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) benennt nach Umsetzung des 2. IT-Sicherheitsgesetzes im neuen § 8a Absatz 1a nun auch ausdrücklich den Einsatz von Systemen zur Angriffserkennung (SzA).
Die wichtigsten Informationen zu der neuen Anforderung haben wir in einem Blogbeitrag für Sie zusammengefasst.
Mehr erfahren
Sie wollen tiefer ins Thema KRITIS einsteigen? Werfen Sie einen Blick in unsere bereits erschienenen Blogbeiträge:
- KRITIS: Was sind kritische Infrastrukturen und wie werden ihre Systeme geschützt?
- KRITIS: Die gesetzliche Grundlage
- KRITIS: Sektoren, Anlagen und Schwellenwerte
- KRITIS: Anforderungen, Nachweise und Audits
- KRITIS und PCI DSS
- KRITIS: BSI veröffentlicht Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung
Wenn Sie Unterstützung oder Beratung zu Ihrem KRITIS-Audit benötigen, kontaktieren Sie uns. Wir helfen Ihnen gerne.